bonjour,
j'ai relié 2 réseaux:
A:
192.168.1.0 /24
passerelle: ipcop1 192.168.1.1
et
B:
10.0.0.0 /24
passerelle : ipcop2 10.0.0.1
par un vpn.
Est il possible en modifiant certaines règles,
de permettre les échanges entre A et B lorsqu'ils sont a initiative de A (suivi de connection)
mais de les bloquer dans le sens B -> A ?
Un peu a l'image de la manière dont la zone vert communique avec la zone orange.
comment faire ?
Merci a tous
pour l'aide
question de vpn....
Modérateur: modos Ixus
11 messages
• Page 1 sur 1
question de vpn....
par nicohak » 03 Août 2007 14:55
- nicohak
- Quartier Maître
- Messages: 11
- Inscrit le: 13 Oct 2006 21:09
par Franck78 » 03 Août 2007 16:21
Salut,
Ceci est extrait du script firewall principal de IPCop 1.4.16.
c'est l'occasion de vérifier que ceci est fonctionnel:
IPSECVIRTUAL ne fait rien que laisser tout passer par défaut.
En ajoutant un DROP adéquat, les connexions de B vers A sont interdites.
ca doit ressembler à
iptables -A IPSECVIRTUAL -s net-B -j DROP
sur la machine coté A.
Ceci est extrait du script firewall principal de IPCop 1.4.16.
c'est l'occasion de vérifier que ceci est fonctionnel:
- Code: Tout sélectionner
# Accept everything connected
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# trafic from ipsecX/TUN/TAP interfaces, before "-i GREEN_DEV" accept everything
/sbin/iptables -N IPSECVIRTUAL
/sbin/iptables -N OPENSSLVIRTUAL
/sbin/iptables -A INPUT -j IPSECVIRTUAL
/sbin/iptables -A INPUT -j OPENSSLVIRTUAL
/sbin/iptables -A FORWARD -j IPSECVIRTUAL
/sbin/iptables -A FORWARD -j OPENSSLVIRTUAL
IPSECVIRTUAL ne fait rien que laisser tout passer par défaut.
En ajoutant un DROP adéquat, les connexions de B vers A sont interdites.
ca doit ressembler à
iptables -A IPSECVIRTUAL -s net-B -j DROP
sur la machine coté A.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par leso » 03 Août 2007 19:48
sinon avec bot ca doit se résoudre aussi
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
-
leso - Vice-Amiral
- Messages: 648
- Inscrit le: 03 Avr 2003 00:00
- Localisation: Paris
par nicohak » 03 Août 2007 20:47
merci ,
J'ai executer la commande sur l'ipcop du reseau A:
iptables -A IPSECVIRTUAL -s 10.0.0.0/24 -j DROP
Malheureusement lorsque je suis sur le réseau B:
la commande ping 192.168.1.240 (exécuté sur une machine de B :10.0.0.10)
me retourne des réponses de 192.168.1.240
Donc A est toujours accessible de B
Ou est mon erreur ?
merci de m'aider
J'ai executer la commande sur l'ipcop du reseau A:
iptables -A IPSECVIRTUAL -s 10.0.0.0/24 -j DROP
Malheureusement lorsque je suis sur le réseau B:
la commande ping 192.168.1.240 (exécuté sur une machine de B :10.0.0.10)
me retourne des réponses de 192.168.1.240
Donc A est toujours accessible de B
Ou est mon erreur ?
merci de m'aider
- nicohak
- Quartier Maître
- Messages: 11
- Inscrit le: 13 Oct 2006 21:09
par nicohak » 03 Août 2007 21:04
pour Leso :
pour la solution avec bot :
Bot bloc bien que le trafic sortant du red ? non ?
d'autre part bot doit être impérativement installé sur l'ipcop de A ( pour raison de sécurité).
une piste pour me mettre sur la voie ?
Merci.
pour la solution avec bot :
Bot bloc bien que le trafic sortant du red ? non ?
d'autre part bot doit être impérativement installé sur l'ipcop de A ( pour raison de sécurité).
une piste pour me mettre sur la voie ?
Merci.
- nicohak
- Quartier Maître
- Messages: 11
- Inscrit le: 13 Oct 2006 21:09
par leso » 03 Août 2007 23:10
il me semblait qu il filtrait le vpn dans les dernières versions , a vérifier
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
-
leso - Vice-Amiral
- Messages: 648
- Inscrit le: 03 Avr 2003 00:00
- Localisation: Paris
par nicohak » 04 Août 2007 15:15
Je crois avoir trouvé. 
La chaine IPSECVIRTUAL contient déjà une règle :
le fait de faire :
cela rajoute en fin de chaine la règle donc cette règle n'est jamais utilisée
puisque les conditions de la première sont toujours vérifiées.
j'ai supprimé la règle avec la commande:
Pour faire la modification je peux rajouter à rc.firewall.local ces 2 lignes ?
D'autre part j'ai cherche avec la commande find dans l'arboresence de /etc les occurrences de IPSECVIRTUAL
J'en ai trouvé que dans rc.firewall et rien qui correspond à la création de la règle :
Dans quel fichier de config de ipcop cette règle est t'elle definie ?
Encore merci de l'aide que vous m'apportez.
La chaine IPSECVIRTUAL contient déjà une règle :
- Code: Tout sélectionner
Chain IPSECVIRTUAL (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
le fait de faire :
- Code: Tout sélectionner
iptables -A IPSECVIRTUAL -s 10.0.0.0/24 -j DROP
cela rajoute en fin de chaine la règle donc cette règle n'est jamais utilisée
puisque les conditions de la première sont toujours vérifiées.
j'ai supprimé la règle avec la commande:
- Code: Tout sélectionner
iptables -D IPSECVIRTUAL 1
Pour faire la modification je peux rajouter à rc.firewall.local ces 2 lignes ?
- Code: Tout sélectionner
iptables -D IPSECVIRTUAL 1
iptables -A IPSECVIRTUAL -s 10.0.0.0/24 -j DROP
D'autre part j'ai cherche avec la commande find dans l'arboresence de /etc les occurrences de IPSECVIRTUAL
J'en ai trouvé que dans rc.firewall et rien qui correspond à la création de la règle :
- Code: Tout sélectionner
Chain IPSECVIRTUAL (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Dans quel fichier de config de ipcop cette règle est t'elle definie ?
Encore merci de l'aide que vous m'apportez.
- nicohak
- Quartier Maître
- Messages: 11
- Inscrit le: 13 Oct 2006 21:09
par nicohak » 04 Août 2007 18:34
En fait je me demande OU dans les fichiers de conf de ipcop
est donné à la chaine IPSECVIRTUAL la règle suivante :
Merci
est donné à la chaine IPSECVIRTUAL la règle suivante :
- Code: Tout sélectionner
iptables -v -L IPSECVIRTUAL
Chain IPSECVIRTUAL (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ipsec+ any anywhere anywhere
Merci
- nicohak
- Quartier Maître
- Messages: 11
- Inscrit le: 13 Oct 2006 21:09
par nicohak » 05 Août 2007 12:24
J'ai fait une recherche des motifs iptables et IPSECVIRTUAL dans tous les fichiers de /var/
et pas d'occurrence trouvée.
La règle
semble être rajouté seulement lorsque la connection vpn devient ouverte.
des idées ???
et pas d'occurrence trouvée.
La règle
- Code: Tout sélectionner
ACCEPT all -- ipsec+ any anywhere anywhere
semble être rajouté seulement lorsque la connection vpn devient ouverte.
des idées ???
- nicohak
- Quartier Maître
- Messages: 11
- Inscrit le: 13 Oct 2006 21:09
11 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité